Condividi tramite

Risoluzione dei problemi di accesso con l'accesso condizionale

  • Articolo

Usa questo articolo per risolvere i risultati imprevisti relativi all'accesso condizionale utilizzando i messaggi di errore e i log di accesso di Microsoft Entra.

Selezionare "tutte" le conseguenze

Il framework di accesso condizionale offre una grande flessibilità di configurazione. L'elevata flessibilità, tuttavia, comporta la necessità di esaminare attentamente ogni criterio di configurazione prima del rilascio per evitare risultati indesiderati. In questo contesto, prestare particolare attenzione alle assegnazioni che riguardano interi insiemi, ad esempio tutti gli utenti/gruppi/applicazioni cloud.

Le organizzazioni devono evitare le configurazioni seguenti:

Per tutti gli utenti, tutte le risorse:

  • Blocca l'accesso: questa configurazione blocca l'intera organizzazione.
  • Richiedi che i dispositivi siano contrassegnati come conformi: per gli utenti che non hanno ancora registrato i propri dispositivi, questo criterio blocca tutti gli accessi, incluso l'accesso al portale di Intune. Se sei un amministratore senza un dispositivo registrato, questa politica ti impedisce di rientrare per modificare la politica.
  • Richiedi dispositivo associato al dominio Microsoft Entra ibrido - Questo criterio ha anche il potenziale di bloccare l'accesso per tutti gli utenti della tua organizzazione se non dispongono di un dispositivo associato a Microsoft Entra ibrido.
  • Richiedi criteri di protezione delle app: questo criterio può anche bloccare l'accesso per tutti gli utenti dell'organizzazione se non si dispone di criteri di Intune. Se sei un amministratore senza un'applicazione client che ha criteri di protezione delle app di Intune, questo criterio ti impedisce di accedere nuovamente ai portali come Intune e Azure.

Per tutti gli utenti, tutte le risorse, tutte le piattaforme per dispositivi:

  • Blocca accesso: questa configurazione consente di bloccare l'intera organizzazione.

Interruzione dell'accesso condizionale

Esaminare il messaggio di errore visualizzato. Per i problemi di accesso quando si usa un Web browser, la pagina di errore stessa contiene informazioni dettagliate. Queste informazioni possono solo descrivere il problema e suggerire una soluzione.

Screenshot che mostra un errore di autenticazione in cui è richiesto un dispositivo conforme.

Nell'errore qui sopra il messaggio indica che è possibile accedere all'applicazione solo da dispositivi o applicazioni client che soddisfano i criteri di gestione dei dispositivi mobili della società. In questo caso, l'applicazione e il dispositivo non soddisfano i criteri.

Eventi di accesso a Microsoft Entra

Il secondo metodo per ottenere informazioni dettagliate sull'interruzione dell'accesso consiste nell'esaminare gli eventi di accesso di Microsoft Entra per vedere quali criteri di accesso condizionale sono stati applicati e perché.

Per ulteriori informazioni sul problema, selezionare Altri dettagli nella pagina iniziale dell'errore. Facendo clic su Altri dettagli, vengono visualizzate informazioni per la risoluzione dei problemi che risultano utili quando si cerca l'evento di errore specifico visualizzato dall'utente negli eventi di accesso di Microsoft Entra o quando si apre un evento di supporto con Microsoft.

Screenshot che mostra ulteriori dettagli su un accesso al browser web interrotto dall'Accesso Condizionale.

Per scoprire quali criteri o criteri di accesso condizionale sono stati applicati e perché, seguire questa procedura.

  1. Accedi all'interfaccia di amministrazione di Microsoft Entra come almeno Lettore report .

  2. Passare a Identità>Monitoraggio e integrità>Registri di accesso.

  3. Individuare l'evento corrispondente all'accesso da esaminare. Aggiungere o rimuovere filtri e colonne per escludere le informazioni non necessarie.

    1. Restringere l'ambito aggiungendo filtri come:
      1. ID di correlazione quando si deve cercare la causa di un evento specifico.
      2. Accesso condizionale per verificare l'esito positivo e negativo dei criteri. Definizione dell'ambito del filtro per visualizzare solo gli errori e limitare i risultati.
      3. Nome utente per visualizzare le informazioni correlate a utenti specifici.
      4. Data riferita all'intervallo di tempo in questione.

    Screenshot che mostra la selezione del filtro di accesso condizionale nel log degli accessi.

  4. Dopo aver trovato l'evento di accesso corrispondente all'errore di accesso dell'utente, selezionare la scheda accesso condizionale. La scheda Accesso condizionale mostra i criteri o i criteri specifici che hanno causato l'interruzione dell'accesso.

    1. Le informazioni riportate nella scheda Risoluzione dei problemi e supporto possono indicare un motivo chiaro per l'errore di accesso, ad esempio il fatto che il dispositivo non soddisfaceva i requisiti di conformità.
    2. Per un'analisi più approfondita, eseguire il drill-down della configurazione dei criteri facendo clic su Nome criterio. Selezionando Nome criterio, viene visualizzata l'interfaccia utente di configurazione per i criteri selezionati per la revisione e la modifica.
    3. I dettagli relativi all'utente e al dispositivo client usati per la valutazione dei criteri di accesso condizionale sono disponibili anche nelle schede Informazioni di base, Posizione, Informazioni sul dispositivo, Dettagli di autenticazione e Dettagli aggiuntivi dell'evento di accesso.

I criteri non funzionano come previsto

Se si seleziona l'icona con tre punti sul lato destro della policy in un evento di accesso, vengono visualizzati i dettagli della policy. Questa opzione fornisce agli amministratori informazioni aggiuntive sui motivi per cui un criterio è stato applicato correttamente oppure no.

Screenshot che mostra i dettagli dei criteri di accesso condizionale al fine di comprendere perché un criterio è stato applicato o meno.

A sinistra si trovano i dettagli raccolti all'accesso e a destra le informazioni dettagliate sulla conformità di tali dettagli ai requisiti dei criteri di accesso condizionale applicati. I criteri di accesso condizionale vengono applicati solo quando tutte le condizioni sono soddisfatte o non configurate.

Se le informazioni nell'evento non sono sufficienti per comprendere i risultati dell'accesso o modificare i criteri per ottenere i risultati desiderati, usare lo strumento di diagnostica di accesso. La diagnostica di accesso è in Informazioni di base>Risoluzione dei problemi dell'evento. Per altre informazioni sulla diagnostica di accesso, vedere Che cos'è la diagnostica di accesso in Microsoft Entra ID. È anche possibile usare lo strumento What If per risolvere i problemi dei criteri di accesso condizionale.

Se è necessario inviare un evento di supporto, specificare l'ID della richiesta, l'ora e la data dell'evento di accesso nei dettagli di invio dell'evento. Queste informazioni consentono al supporto tecnico Microsoft di trovare l'evento specifico che interessa all'utente.

Codici errore comuni relativi all'accesso condizionale

Codice errore di accesso Stringa di errore
53000 DispositivoNonConforme
53001 DispositivoNonCollegatoAlDominio
53002 L'applicazione utilizzata non è un'app approvata
53003 BloccatoDaAccessoCondizionale
53004 ProofUp bloccato a causa di rischio

Altre informazioni sui codici errore sono disponibili nell'articolo Autenticazione di Microsoft Entra e codici errore relativi all'autorizzazione. I codici errore nell'elenco vengono visualizzati con un prefisso AADSTS seguito dal codice visualizzato nel browser, ad esempio AADSTS53002.

Dipendenze dei servizi

In alcuni scenari, gli utenti vengono bloccati perché le app cloud dipendono dalle risorse bloccate dai criteri di accesso condizionale.

Per determinare la dipendenza del servizio, verificare il registro degli accessi per l'applicazione e la risorsa chiamata al momento dell'accesso. Nello screenshot seguente l'applicazione chiamata è il Portale di Azure, ma la risorsa chiamata è l'API Gestione dei servizi di Windows Azure. Per risolvere questo scenario in modo appropriato, tutte le applicazioni e le risorse devono essere combinate in modo analogo nei criteri di accesso condizionale.

Screenshot che mostra un log di accesso di esempio che mostra un'applicazione che chiama una risorsa. Questo scenario è noto anche come dipendenza del servizio.

Cosa fare se non è possibile accedere

Se si è bloccati a causa di un'impostazione non corretta in un criterio di accesso condizionale:

  • Controllare se sono presenti altri amministratori dell'organizzazione che non sono ancora bloccati. Un amministratore con accesso può disabilitare la politica che incide sul tuo accesso.
  • Se nessun amministratore dell'organizzazione può aggiornare il criterio, inviare una richiesta di supporto. Il supporto tecnico Microsoft può esaminare e, al momento della conferma, aggiornare i criteri di accesso condizionale che impediscono l'accesso.

Passaggi successivi